올해 하반기, 국내 대표 이커머스 기업에서 발생한 정보 유출은 단순한 해프닝이 아니라 우리 일상과 맞닿은 보안·거버넌스 문제를 드러낸 사건이다. 규모는 크고 경로는 복합적이며, 수사는 지금 이 순간에도 진행 중이다. 무엇이, 어떻게, 어느 정도까지 침해되었는지, 그리고 지금 우리가 무엇을 해야 하는지 차분히 정리했다.
쿠팡에서 실제로 무슨 일이 일어났나?
2025년 하반기 쿠팡에서는 약 3,370만 건의 고객 계정 정보가 외부로 유출된 것으로 공식·언론 자료가 일치한다. 유출 범위에는 이름, 이메일, 배송지 주소록(수령인 이름·전화번호·주소), 일부 주문 정보가 포함되며, 일부 사례에서는 공동현관 비밀번호 등 민감 정보까지 보고됐다. 회사는 결제정보(카드번호 등)와 로그인 비밀번호는 유출되지 않았다고 밝혔지만, 언론을 통해 무단 결제 시도 사례가 일부 확인되며 추가 조사가 이어지고 있다.
정부는 2025-06-24부터 2025-11-08 사이 해외 서버를 통한 ‘저속·지속(low and slow)’ 방식의 비정상 접근이 장기간 이뤄졌을 가능성을 제기했다. 특히 퇴사자 권한과 내부 인증키(액세스 토큰·서명키 등)의 폐기·갱신 미흡, 접근권한 관리 및 인증체계 취약성이 복합적으로 지적되고 있다. 내부 문서상 최초 기술적 징후는 2025-11-06 18:38에 포착되었고, 고객 민원 확인·경찰 신고는 11-18~19, 공식 사과와 피해규모 공개는 11-29~30에 이뤄졌다. 현재 수사와 행정 조사(개인정보위 포함)가 병행 중이며, 2차 피해(보이스피싱·스미싱·이상 거래) 우려가 커져 소비자 주의가 강력히 권고된다.
- 쿠팡 고객 안내: https://mc.coupang.com/ssr/mobile/faqlist
- 정부 정책브리핑/소비자 경보: https://www.korea.kr
어떤 정보가, 얼마나 유출되었나?
공식 발표와 보도를 종합하면 유출 규모는 약 3,370만 건으로 파악된다(초기 신고치 4,536건 → 최종 공개치 수천만 건). 범주는 다음과 같다.
- 기본 정보: 이름, 이메일
- 배송 관련: 배송지 주소록(수령인 이름·휴대전화번호·주소)
- 거래 관련: 일부 주문 정보
- 민감 정보: 일부 사례에서 공동현관 출입 비밀번호 등 보고
회사는 결제정보와 로그인 비밀번호는 유출되지 않았다고 설명했으나, 일부 무단결제 시도 보도가 있어 사실관계는 수사 결과로 확정될 전망이다. 공격 시기는 정부 발표 기준 2025-06-24 ~ 2025-11-08로 추정된다.
- 쿠팡 고객 안내: https://mc.coupang.com/ssr/mobile/faqlist
- 정부 소비자 경보: https://www.korea.kr
유출된 데이터는 정확히 무엇인가?
핵심은 개인정보·연락처 정보의 대량 노출이다. 확인 또는 강한 정황이 있는 항목은 아래와 같다.
- 이름, 이메일
- 배송지 주소록: 수령인 이름·휴대전화번호·주소
- 일부 주문 정보(구매 이력 연계 우려)
- 일부 사례: 공동현관 출입 비밀번호 등 민감 정보 보고
회사는 결제정보·로그인 비밀번호의 유출을 부인하고 있으나, 이상 결제 시도 보도가 존재해 카드사 모니터링·차단 설정은 필수다. 자세한 공지는 쿠팡 자주 묻는 질문(FAQ)에서 확인할 수 있다: 쿠팡 고객 안내
유출 기간과 발표 규모는 어떻게 변했나?
조사 결과와 문서 기록을 시간순으로 정리하면 다음과 같다.
- 2025-06-24 경: 비정상 접근 시작(정부 추정)
- 2025-11-06 18:38: 내부 최초 기술적 징후 기록
- 2025-11-18~19: 고객 민원 확인, 경찰 신고
- 2025-11-20 전후: 회사 초기 입장·사과
- 2025-11-29~30: 최종 피해 규모 약 3,370만 건 공개
- 동기간: 민관합동조사단(과기정통부·개인정보위·경찰 등) 착수
초기 집계(수천 건)에서 최종 집계(수천만 건)로 급증한 점, 인지·공개 시점의 지연은 향후 법적·규제 쟁점이 될 가능성이 크다.
- 쿠팡 공지: https://mc.coupang.com/ssr/mobile/faqlist
- 정부 보도자료/참고: https://www.korea.kr
왜 이런 일이 발생했나? 원인과 책임은 누구에게 있나?
현재까지의 조사·보도를 보면 원인은 크게 세 축으로 요약된다.
1) 권한·인증키 관리 미흡: 퇴사자(전 직원) 보유 액세스 토큰·서명키가 즉시 폐기·교체되지 않아 악용됐을 가능성
2) 탐지 회피형 접근: 해외 서버에서의 ‘저속·지속’ 방식으로 장기간 정보 조회
3) 탐지·대응 지연: 최초 징후 포착(11-06) 이후 민원·신고(11-18~19), 대규모 공개(11-29~30)까지 시간차
법적으로는 개인정보보호법상 사업자의 관리 책임, 입증책임 전환, 과징금·행정 제재, 민사상 손해배상 등이 검토 대상이다. 다만 용의자 신원, 구체적 침해 수법, 최종 책임 소재는 수사·조사로 확정될 사안이다.
퇴사자 토큰 악용은 어떻게 작동했나?
정황상 핵심은 인증 토큰의 폐기 실패다. 액세스 토큰·서명키가 유효하게 남아 있었다면, 공격자는 이를 통해 별도의 로그인 절차 없이 내부 API에 접근했을 수 있다. 이 토큰은 일종의 소지자 토큰으로, 비밀번호를 바꿔도 토큰이 살아 있는 한 접근이 차단되지 않는다. 따라서 사고 대응의 핵심은:
- 유출 가능성이 있는 모든 키·토큰의 즉시 폐기 및 재발급
- 권한 최소화와 권한별 접근 로깅·이상 탐지의 상시화
- 퇴직·이동 시 자격증명 전면 무효화를 강제하는 절차
구체적 작동 과정과 책임 범위는 여전히 조사 단계이므로, 확인된 사실과 추정은 구분해 이해해야 한다.
쿠팡의 초기 발표와 정부·경찰 조사 진행 상황은?
- 내부 기술적 징후 기록: 2025-11-06 18:38
- 고객 민원 확인 및 경찰 신고: 2025-11-18~19
- 초기 공식 입장·사과: 11-20 전후
- 최종 피해 규모 공개: 11-29~30, 약 3,370만 건
- 민관합동조사단 착수: 2025-11-30(과기정통부·개인정보위·경찰)
개인정보위는 통지 표현을 ‘노출’이 아닌 ‘유출’로 정정·재통지를 요구하는 등 행정 조치를 병행 중이다. 다만 핵심 사실관계(용의자, 침해 수법, 최종 책임)는 아직 확정되지 않았다.
- 쿠팡 고객 안내: https://mc.coupang.com/ssr/mobile/faqlist
- 정부 소비자 경보: https://www.korea.kr
지금 내가 할 수 있는 안전 조치와 권리는 무엇인가?
사건의 최종 결론과 무관하게, 지금 즉시 시행해야 할 개인 보안 수칙과 권리는 분명하다.
- 비밀번호 전면 교체 + 2단계 인증: 이메일·쿠팡 등 핵심 계정은 서로 다른 강력한 비밀번호를 사용하고, 가능한 모든 곳에서 2단계 인증을 켜자.
- 결제수단·주소록 정비: 쿠팡에 저장된 카드·계좌를 삭제하거나 카드사에 사전 차단·재발급을 요청. 주문·배송 이력의 이상 거래를 정기 점검.
- 피싱 차단: 출처 불명의 문자·링크 금지, 원격제어 앱 설치 요청 절대 금지. 의심 연락·금전요구는 캡처·보관.
- 신고·구제: 경찰(112·사이버수사대), 카드사 거래정지·부인(차지백), 개인정보위·KISA 신고·분쟁조정, 필요 시 손해배상·집단소송 검토.
참고 링크
- 쿠팡 고객 안내: https://mc.coupang.com/ssr/mobile/faqlist
- 정부 소비자 경보·권고: https://www.korea.kr
- 한국인터넷진흥원(KISA) 개인정보침해 신고: https://www.kisa.or.kr
당장 해야 할 보안 설정 3가지
1) 계정 보안 강화
- 쿠팡 비밀번호를 즉시 교체하고, 다른 서비스와 중복 금지.
- 길고 복잡한 비밀번호 사용, 가능하면 비밀번호 관리자 활용.
- 제공되는 경우 다중요소 인증(MFA)을 필수 활성화.
- 안내: 쿠팡 고객 안내(계정·보안)
2) 결제·주소·주문 내역 점검
- 저장된 카드·계좌·배송지 정보를 정리·삭제.
- 이상 거래 징후 발견 시 즉시 카드사·은행 잠정 정지 및 모니터링 요청.
- 참고: 정부 소비자 경보
3) 세션·연동 초기화 + 기기 업데이트
- 모든 기기에서 강제 로그아웃(세션 만료) 후 재로그인.
- 소셜로그인·외부 앱 연동 권한 해제.
- 스마트폰·OS·앱 최신 업데이트 유지, 의심 링크·앱 설치 요청 거부.
피해 신고와 손해배상 청구는 어떻게 진행되나?
- 증거 보존: 유출 의심 문자·이메일, 쿠팡 계정·주문 내역 캡처, 카드·은행 거래명세 확보.
- 금융 보호 조치: 카드사·은행에 무단 결제 차단·재발급 요청, 이상 거래 통보·모니터링 신청.
- 형사 신고: 112 또는 관할 경찰서·사이버수사대에 접수.
- 행정·조정: 개인정보위·KISA에 신고, 개인정보분쟁조정위에 조정 신청(권고 결정 가능).
- 민사 구제: 손해배상 청구 또는 집단소송 참여 검토. 개인정보보호법 제39조(사업자 손해배상 책임·입증책임 전환), 제39조의2(법정손해배상) 적용 가능.
- 관련 보도에 따르면 2025-12-01 기준 일부 변호인단이 서울중앙지법에 소장을 제출(원고 14명)했다는 소식도 있다. 소송 참여 전에는 법률 상담을 권한다.
참고 링크
- 쿠팡 고객 안내: https://mc.coupang.com/ssr/mobile/faqlist
- 정부 소비자 경보·권고: https://www.korea.kr
마무리
이번 사건은 단순한 해킹 이슈가 아니라, 기업의 권한 관리·인증 체계·사고 대응 전 과정이 얼마나 중요한지 보여준다. 최종 책임과 사실관계는 수사로 확정되겠지만, 개인이 지금 할 수 있는 최선의 방어는 명확하다. 비밀번호 재설정과 2단계 인증, 결제수단·주소록 정비, 피싱 차단 습관을 생활화하자. 우리의 정보는 우리가 지키는 첫걸음에서부터 안전해진다.